Een hardware wallet wordt gebruikt om het geheim dat toegang geeft tot je bitcoins aan te maken en te bewaren. Het is erg moeilijk om deze informatie te stelen terwijl je de hardware wallet in bezit hebt. Een potentiële aanvaller zou het apparaat moeten bemachtigen of een hack moeten uitvoeren die sinds het bestaan van hardwarewallets nog nooit geluk is (via internet connectie inbreken op de hardware wallet). 

Het is vele malen gemakkelijker om een zogenaamde ‘supplychain attack’ uit te voeren, oftewel om de hardware wallet aan te passen zodat de geheime sleutels gestolen kunnen worden zodra je ze aanmaakt. Het onderzoeksteam van Kraken heeft zojuist twee mogelijke manieren gevonden om op deze manier de Ledger Nano X te kraken. Zie het filmpje en het blog van Kraken hieronder:

Bron: Kraken blog

De malware die de reseller in dit geval in de hardware wallet kan stoppen kon de computer van de gebruiker naar de website van de aanvaller doorverwijzen via bepaalde shortcodes. Ook kan het beeldscherm op de Ledger uitgeschakeld worden en de gebruiker worden gevraagd bepaalde handelingen op het apparaat te verrichten om de hardware wallet te resetten. Het blind laten maken van een transactie zou hier het meest voor de hand liggend zijn. 

Dit is niet de eerste en niet de laatste mogelijke supplychain attack

Gelukkig heeft Kraken het op beveiliging gespecialiseerde onderzoeksteam ingezet om te zorgen dat de lekken als deze gedicht kunnen worden voordat ze door criminelen gevonden worden. Bij de modellen die vanaf nu verkocht worden is deze aanval niet meer mogelijk. Toch zullen er in de toekomst veel meer manieren gevonden worden om malware in hardwarewallets te plaatsen.

Bovendien zijn er veel gebruikers die Bitcoin nog niet goed begrijpen en er veel gemakkelijker in te luizen zijn. Zo zijn er in het verleden gevallen geweest waarbij de backup seed al door de reseller was ingevuld. De coins konden dus na deposit direct gestolen worden. Daarnaast is het ook mogelijk dat de aanvaller eerst jaren wacht totdat hij toeslaat: Vele slachtoffers hebben dan jaren kunnen sparen en bovendien is de bron van de hack dan veel moeilijker te achterhalen.

Wat kan je doen om een suppychain attack te voorkomen?

Voorkomen is beter dan genezen en omdat verlies van bitcoins ongeneselijk is moeten we alles doen om het te voorkomen. Gelukkig zijn er een paar manieren om de kans op een supplychain attack zo klein mogelijk te maken of zelfs geheel uit te sluiten. Door ze te combineren zit je helemaal goed!

Koop je hardware wallet altijd direct bij de fabrikant

Het is duidelijk dat de kans op een suppychain attack kleiner wordt als je zorgt dat er minder suppliers zijn, daarom kan je resellers beter geheel uitsluiten. Je zal misschien een paar Euro meer betalen of een iets langere levertijd hebben, maar het gaat om de veiligheid van je bitcoins en de ‘peace of mind’ van jezelf voor vele jaren. 

Als je denkt dat het risico verwaarloosbaar is: Denk je er nog zo over als de bitcoin prijs tien keer over de kop gaat en je kleine potje een vermogen waard is? Met bitcoin is het altijd zaak om alles optimaal veilig te doen. DON’T TRUST, VERIFY: Dat geld ook voor de resellers. Helaas moet je de fabrikant nog steeds vertrouwen tot op zekere hoogte vertrouwen, maar je hebt het risico in ieder geval met 50% verlaagd! HIER kan je de Trezor, HIER de Ledger en HIER de Coldcard direct bij de fabrikant bestellen.

Gebruik een passphrase

Als er malware op de hardware wallet aanwezig is waarmee de private key gestolen kan worden, kan een passphrase de diefstal misschien voorkomen mits het wachtwoord niet op de hardware wallet zelf is aangemaakt. Jammer genoeg moet bij Ledger de passphrase op de hardware wallet zelf worden ingesteld, dus kan de eventuele malware deze waarschijnlijk ook stelen. 

Bij Trezor moet je de passphrase op de computer instellen en bied het dus meer bescherming. Helaas is het nog niet helemaal sluitend, want sommige malware kan ook met de computer communiceren zoals we in de recente aanval gezien hebben. 

LEES HIER MEER OVER PASSPHRASES

Gebruik multisignature met meerdere hardwarewallets.

Door multisignature te gebruiken kan je het risico van een supplychain attack geheel uitsluiten. Als je een 2-of-3 opstelling maakt met twee of drie verschillende hardwarewallets is er niets aan de hand als één van de private keys gestolen wordt. Er zijn immers twee keys nodig om de bitcoins te versturen.

Uiteraard moet je de hardwarewallets dan niet allemaal bij dezelfde reseller kopen, het beste is om ze allemaal bij de fabrikant zelf te bestellen. Multisignature is tegenwoordig niet moeilijk meer op te zetten en als je een Trezor 1 en een Ledger Nano S gebruikt ben je goedkoper uit dan als je alleen een enkele Ledger Nano X of Trezor Model T koopt. 

HIER kan je meer lezen over multisignature met hardwarewallets. Wij raden aan om Caravan te gebruiken of Unchained-Capital als je het nog niet helemaal alleen aandurft. 

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *